New Supply Chain Attack Targeting Chrome Extensions to Inject Malicious Code
New Supply Chain Attack Targeting Chrome Extensions to Inject Malicious Code
Supply chain attack targeting Chrome browser extensions has come to light, potentially compromising hundreds of thousands of users.
gbhackers.com
- 공격 개요
- 2024년 12월, 크롬 브라우저 확장 프로그램을 타겟으로 한 정교한 공급망 공격 발생
- 공격자는 피싱 캠페인을 통해 확장 프로그램 개발자를 노리고 악성 OAuth 애플리케이션을 사용하여 계정 탈취
- 감염된 확장 프로그램을 통해 API 키, 세션 쿠키, 인증 토큰(ChatGPT, Facebook Business 등)의 사용자 민감 정보 유출
- 공격자는 2023년부터 활동하였으며, 2024년 말부터 기존 가짜 확장 프로그램 배포 방식에서 개발자 계정 탈취 및 정식 확장 프로그램 감염 방식으로 전환
- 개발자를 노린 피싱 공격
- 공격자는 크롬 확장 프로그램 개발자를 대상으로 정교한 스피어 피싱(Spear Phishing) 이메일 발송
- 공식적인 크롬 웹 스토어 알림으로 위장하여 개발자들에게 악성 OAuth 애플리케이션("Privacy Policy Extensions")의 접근을 승인하도록 유도
- 피싱 이메일 발송 도메인
- chromeforextension[.]com
- supportchromestore[.]com (Google 서비스와 유사한 도메인 사용)
- OAuth 애플리케이션이 승인되면 공격자가 확장 프로그램을 제어할 수 있으며, 악성 코드가 포함된 업데이트 버전을 크롬 웹 스토어에 업로드
- 피싱 페이지는 checkpolicy[.]site 등과 같은 도메인을 거쳐 Google 로그인 페이지로 연결, 사용자 자격 증명을 탈취
- 감염된 확장 프로그램 및 악성 코드 기능
- 약 15개의 크롬 확장 프로그램이 감염됨
- 대표적인 피해 확장 프로그램
- Proxy SwitchyOmega
- GraphQL Network Inspector
- VidHelper Video Download Helper
- 주요 악성 코드 구성 요소
- background.js
- 백그라운드에서 실행되며 API 키, 인증 토큰 등의 민감한 데이터를 C2 서버로 전송
- C2 서버에서 전달된 설정 파일을 기반으로 특정 플랫폼(ChatGPT, Facebook Business 등) 타겟팅
- context_responder.js
- 방문한 웹 페이지에 삽입되어 브라우저 URL과 상호 작용
- C2 서버에서 지정한 패턴에 맞춰 자격 증명 탈취 수행
- background.js
- 공격 인프라 분석
- 공격자는 여러 개의 도메인을 Namecheap을 통해 등록하고 AS20473(VULTR)에서 호스팅
- 피싱 도메인(chromeforextension[.]com)에서 초기 접근 수행
- C2 서버(graphqlnetwork[.]pro)를 통해 악성 코드 설정 파일 호스팅
- 데이터 탈취 후 149.248.2[.]160의 서브도메인으로 전송하여 MySQL 데이터베이스에 저장
- 2023년 12월부터 SEO 중독(SEO Poisoning)과 멀버타이징(Malvertising)을 통해 가짜 크롬 확장 프로그램 배포
- 보안 권고
- 개발자 보호
- OAuth 애플리케이션 승인 요청 시 발신 도메인 철저히 검증
- Chrome Web Store 관련 알림은 공식 Google 도메인에서만 수신해야 함
- 2단계 인증(MFA) 활성화하여 계정 탈취 방지
- 일반 사용자 보호
- 크롬 확장 프로그램 업데이트 시 개발사 및 공식 웹사이트 확인
- 확장 프로그램의 필요 권한과 동작을 지속적으로 모니터링
- 기업 및 조직 보안
- 브라우저 확장 프로그램의 활동을 실시간 모니터링하는 보안 솔루션 도입
- 크롬 웹스토어에 배포된 확장 프로그램의 무결성 정기 검토
- 직원들에게 피싱 이메일 탐지 및 대응 교육 실시
- 피싱 및 악성 코드 차단
- 악성 도메인(예: checkpolicy[.]site, graphqlnetwork[.]pro) 차단
- API 키 및 인증 토큰 보호를 위한 주기적인 보안 점검 및 갱신
- 개발자 보호
- 결론
- 크롬 확장 프로그램을 통한 공급망 공격의 위험성이 증가하며, 개발자 및 사용자 모두의 보안 인식이 중요
- OAuth 애플리케이션을 활용한 새로운 공격 기법이 등장하며, 기업 및 개인은 계정 보안을 철저히 관리해야 함
- 브라우저 확장 프로그램의 악용 가능성을 인지하고 정기적인 보안 점검을 수행하여 공격을 예방하는 것이 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| TRIPLESTRENGTH 그룹, 클라우드 크립토재킹 및 온프레미스 랜섬웨어 공격 수행 (0) | 2025.01.31 |
|---|---|
| GhostGPT – 사이버 범죄를 위한 탈옥된 AI 챗봇의 등장 (0) | 2025.01.31 |
| QakBot 기반 BC 악성코드, 원격 접근 및 데이터 수집 기능 강화 (0) | 2025.01.31 |
| macOS 사용자 대상 Homebrew 위장 악성코드 유포 캠페인 발견 (0) | 2025.01.31 |
| Nnice 랜섬웨어: 고급 암호화 기법을 이용한 Windows 시스템 공격 (0) | 2025.01.31 |